Free-radius 版本:FreeRADIUS Version 3.0.13
操作系统:Oracle Linux Server 7.8
我司交换机型号:S5170-28S-HPWR-EI
我司交换机版本:Version 7.1.070, Release 1115
我司设备接口上线触发AAA认证获取到的是华为设备的权限
客户需要用我司设备替代华为设备,在客户原有的环境华为设备上线认证获得level3的权限,替换我司设备后,登陆设备发现权限很低,通过dis user-interface 看是level3,怀疑是采用了华为属性导致的,没有获得network-admin级别的权限。
分析有两种解决方法
在客户free-radius服务器上添加我司私有属性步骤
l第一步: 在free-radius目录下寻找dictionary.h3c(如果没有需要添加该文件)然后在该文件下添加
ATTRIBUTE H3c-AV-Pair 210 string
路径和添加结果如图所示
l 第二步:在free-radius目录下找到“dictionary”文件,之后添加以下字符(与其他字典放在一起,不要在最前面或者最后面)
$INCLUDE dictionaries/dictionary.h3c
路径和添加结果如图所示
l 第三步:在用户文件中的“用户授权属性”中增加如下授权字段(对于实验室环境是在free-radius添加 路径为freeradius/etc/raddb/users,在客户环境是远程数据库,因为涉密没有看到路径)
添加后的结果如下图所示
l 第四步:做完所有的操作后需要重启Free-radius软件
l 第五步:打开debug radius packet,SSH触发认证后检查H3C属性是否生效。使用display users 查看用户获取的权限是否为“network-admin”
正确结果debug日志如下图所示
Free-radius重启会导致几分钟的认证业务中断,重启前确认有备份文件再重启
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作